Oracle Cloud Infrastructureドキュメント

コンピュート・スキャン・レシピの作成

ホスト・エージェントの有無にかかわらず、コンピュート(ホスト)スキャン・レシピを作成します。

コンピュート・スキャン・レシピを作成するには、次のオプションがあります:

重要

  • 開始する前に、脆弱性スキャンのポリシー・ドキュメントを確認してください。スキャンに必要なIAMポリシーを参照してください。
  • OCIエージェントまたはQualysエージェント・コンピュート・スキャン・レシピを作成した後は、そのレシピをエージェントに変更しないでください。別のレシピを作成します。

  • エージェントなしでコンピュート・スキャン・レシピを作成するには、次のステップを実行します:

    1. 「レシピのスキャン」リスト・ページの「ホスト」タブで、「作成」を選択します。リスト・ページまたはレシピの検索に関するヘルプが必要な場合は、コンピュート・スキャン・レシピのリストを参照してください。

      「スキャン・レシピの作成」パネルが開きます。

    2. レシピ・タイプが「コンピュート」であることを確認します。
    3. レシピの名前を入力します。

      機密情報を入力しないでください。

    4. 選択したコンパートメントにレシピを作成することを確認します。必要に応じて別のコンパートメントを選択します。
    5. 選択したコンパートメントにレシピを作成することを確認します。必要に応じて別のコンパートメントを選択します。
    6. このレシピのパブリックIPポートのスキャンのレベルを選択します。
      • 標準: 1,000個の最も一般的なポート番号をチェックします。
      • 軽量(デフォルト): 100個の最も一般的なポート番号をチェックします。
      • なし: 開いているポートをチェックしません。

      脆弱性スキャン・サービスは、パブリックIPアドレスを検索するネットワーク・マッパーを使用します。スキャンされるポートを参照してください。

    7. 「エージェント・ベースのスキャン」チェック・ボックスの選択を解除します。エージェント・ベースのスキャンを無効にすると、このレシピに割り当てられているターゲットで脆弱性スキャン・エージェント・プラグインをアクティブ化する必要がなくなります。

      脆弱性スキャン・エージェントは、選択したターゲットで実行され、パッチの欠落などの脆弱性についてターゲットのOS構成をチェックします。

      エージェント・ベースのスキャンとパブリックIPポートのスキャンの両方を有効にすると、エージェントは、パブリックIPアドレスからアクセスできないオープン・ポートもチェックします。

      ノート

      このレシピでパブリックIPポートのスキャンエージェント・ベースのスキャンを両方無効にすると、脆弱性スキャン・サービスでは、このレシピに割り当てられているどのターゲットもスキャンされません。
    8. 「スケジュール」で、パブリックIPポート・スキャンのスケジュールを選択します。

      スケジュールにより、このレシピに割り当てられているターゲットをスキャンする頻度を制御します。「日次」または「週次」のいずれかの値を選択します。

      ノート

      Qualysエージェントのスキャン・スケジュールまたは他のQualysエージェント構成を構成するには、Qualysダッシュボードに移動します。

    9. (オプション)「拡張オプションの表示」を選択して、レシピにタグを割り当てます。

      リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを追加する権限もあります。

      定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

      タグ付けの詳細は、リソース・タグを参照してください。タグを追加する必要があるかどうかが不明な場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から追加できます。

    10. 次のいずれかの方法を使用してレシピを保存します。
      • 「スキャン・レシピの作成」を選択して、脆弱性スキャン・サービスにレシピを作成します。
      • 「スタックとして保存」を選択して、リソース・マネージャ・サービスを介してスタックを管理します。「スタックとして保存」ウィンドウで、フィールドに入力し、「保存」を選択します。スタックの詳細は、スタックの管理を参照してください。

    レシピの作成後、スキャン・ターゲットを作成してレシピに関連付けることができます。コンピュート・ターゲットの作成を参照してください。

  • 新しいホスト・スキャン・レシピを作成するには、oci vulnerability-scanning host scan recipe createコマンドと必要なパラメータを使用します:

    oci vulnerability-scanning host scan recipe create --display-name <name> --compartment-id <compartment_ocid> --agent-settings '{"scanLevel": "<agent_scan_level>"}' --cis-benchmark-settings '{"scanLevel": "<CIS_scan_level>"}' --port-settings '{"scanLevel": "<port_scan_level>"}' --schedule '{"type":"<daily_or_weekly>"}'

    例:

    oci vulnerability-scanning host scan recipe create --display-name MyRecipe --compartment-id ocid1.compartment.oc1..exampleuniqueID --agent-settings '{"scanLevel": "STANDARD"}' --cis-benchmark-settings '{"scanLevel": "MEDIUM"}' --port-settings '{"scanLevel": "STANDARD"}' --schedule '{"type":"DAILY"}'

    CLIコマンドのフラグおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

  • CreateHostScanRecipe操作を実行して、新しいホスト・スキャン・レシピを作成します。

    ノート

    HostEndpointProtectionSettingsは有効ではなく、将来の使用のために予約されています。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。